Представляешь,

Cloudflare переписала Next.js за неделю и $1 100 Один инженер, ИИ-агент и немного токенов — и вот у вас замена одному из самых сложных веб-фреймворков. Cloudflare взяла Next.js, выбросила проприетарный Turbopack, заменила его на Vite и получила vinext — инструмент, который деплоится в Cloudflare Workers одной командой. На всё ушла одна рабочая неделя. А теперь главная часть: Vercel оценивается в $9 млрд, и ключевое конкурентное преимущество там всегда строилось на том, что формат сборки Next.js — проприетарный и недокументированный. То есть официально открытый фреймворк, но деплоить его удобно только на Vercel. Умная схема. Была. vinext покрывает 94% API Next.js, обещает сборку до 4 раз быстрее и бандлы на 57% меньше. Официально — экспериментальная. Но вопрос уже не в этом: ИИ только что показал, что «несколько лет инженерного труда» стоят примерно тысячу долларов. @your_tech (теперь ещё в VK и Max)

Edge держит все ваши пароли в RAM — на всякий случай Microsoft Edge при запуске загружает в память все сохранённые пароли сразу — и держит их там открытым текстом всю сессию. Не когда вы заходите на сайт, не при автозаполнении. Просто запустили браузер — и всё, пароли уже в памяти. Хотите достать? Дамп процесса + утилита strings. Без прав администратора. Chrome, для сравнения, расшифровывает пароль только в момент автозаполнения и сразу выгружает. Норвежский исследователь проверил несколько Chromium-браузеров — Edge оказался единственным с таким поведением. Microsoft объяснили: это не баг, это дизайн. Баланс между производительностью и безопасностью. Удобная функция, ничего не скажешь. Особенно живописно выглядит на терминальных серверах: администратор снимает дамп памяти — и получает пароли всех вошедших пользователей разом. @your_tech (теперь ещё в VK и Max)

Copy Fail: ядро Linux заботливо открывает root через криптосокет В Linux с 2017 года живёт модуль algif_aead — он позволяет работать с криптоAPI ядра прямо из страниц page-cache, без лишних копий. Оптимизация разумная. Последствия — предсказуемые в ретроспективе. CVE-2026-31431 «Copy Fail»: открываете AF_ALG-сокет (никаких прав не нужно), дёргаете splice(), получаете 4-байтовую запись в page-cache, тихо подменяете несколько байт в /usr/bin/su — и вот у вас root shell. Рабочий PoC уже опубликован. Затронуты Ubuntu 24.04, RHEL 10.1, SUSE 16, Amazon Linux 2023. Mainline-патч влили 1 апреля, но до пакетов дистрибутивов он так и не добрался. Пока — отключайте algif_aead через modprobe.d, в контейнерах блокируйте AF_ALG через seccomp.

OpenAI наконец разрешили дружить с другими С 27 апреля Microsoft и OpenAI официально не эксклюзивные партнёры. Шесть лет особых отношений — и вот, свободная касса. Те же модели по тому же API скоро появятся через AWS Bedrock. CEO Amazon уже подтвердил. Лицензия Microsoft никуда не делась — просто стала неэксклюзивной и теперь действует до 2032 года. Раньше было «до достижения AGI». А так как AGI всё никак не получается, конкретная дата куда практичнее. Azure всё ещё «первый» — но если Microsoft не успеет поддержать новые возможности, продукт выйдет сразу на Bedrock или Google Cloud. Приятный стимул не тормозить.

pgBackRest закрывается спустя 13 лет разработки Главный open-source бэкап PostgreSQL просто исчез. Дэвид Стил добавил в README «NOTICE OF OBSOLESCENCE» и заархивировал репозиторий. Всё. 13 лет работы: параллельные бэкапы, WAL-архивация, S3/Azure/GCS испарились за один коммит. Причина прозаичная: Crunchy Data, корпоративный спонсор, была продана. Новую позицию Стил не нашёл, спонсорства не собрал. Написал: «Лучше жёсткий стоп, чем тянуть проект кое-как». Не поспоришь. Приятный бонус: v2.58.0 продолжает работать, его не отзывают. Security-патчей, правда, больше нет. А PG19 осенью pgBackRest не поддержит — WAL-форматы сломаются. Смотрите на wal-g (Yandex Cloud) или Barman. Форки приветствуются.

Microsoft переписала TypeScript на Go 21 апреля вышла TypeScript 7.0 Beta. Весь компилятор переписан с TypeScript на Go. Работает примерно в 10 раз быстрее старого tsc. Новый бинарник называется tsgo, живёт рядом со старым компилятором и не конфликтует с ним. Логика проверки типов структурно идентична TypeScript 6.0 — то есть переход должен быть прозрачным. Скорость берётся из нативного кода Go плюс параллелизм: парсинг, чекер и эмиттер работают в несколько потоков одновременно. Флаг --checkers задаёт число type-check воркеров (по умолчанию 4), --builders — параллельная сборка монорепозитория. Bloomberg, Figma, Google, Slack и ещё десяток компаний уже попробовали в бою. Поставить: @typescript/native-preview@beta. Запустить: tsgo вместо tsc. Несколько старых флагов (target: es5, moduleResolution: node) пока сломаны — так сказать, приятный бонус бета-версии.

Google вложит $40 млрд в Anthropic. Amazon уже вложил $25 млрд 24 апреля Google и Anthropic подтвердили сделку: $10 млрд сразу, ещё до $30 млрд по мере выполнения «перформанс-таргетов» (подробностей, разумеется, не раскрывают). Оценка компании — $350 млрд, та же, что была в феврале у Amazon. Раньше Google владел ~14% Anthropic, вложив суммарно $3 млрд. Теперь добавляет в 10+ раз больше. В качестве бонуса — 5 ГВт TPU-мощностей на пять лет через Google Cloud. Правда, появятся они не раньше 2027-го. Зачем деньги? Убрать лимиты в Claude Pro и недельные капы в Claude Code. Выручка выросла в 3 раза за 4 месяца — с $9 млрд до $30 млрд. Деньги нужны на вычисления. читать далее

84% разработчиков используют AI в работе, а до агентной разработки дошли — 4% По данным опроса Stack Overflow (49 000 респондентов), половина рынка так и остаётся на уровне простых AI-инструментов. Исследование Naition среди русскоязычных разработчиков показывает ту же картину. За последние полгода сдвиг стал очевидным: проблема больше не в моделях — агенты фейлятся не из-за ограничений, а из-за того, как с ними работают. На этом фоне Naition запускает 12-недельный буткемп по AI-driven разработке: — настройка ИИ-окружения под свой стек: RAG, MCP, SPEC, агенты, контекст; — ускорение разработки на всех этапах: от планирования до внедрения; — управление командой ИИ-агентов (backend, frontend, аналитика, DevOps). Для первого потока предусмотрены 3 месяца доступа в закрытый клуб после окончания курса, чтобы не остаться один на один с внедрением и продолжить разбираться в агентной разработке уже на практике, вместе с сообществом единомышленников и авторами курса. Спикеры — практики из Google, Yandex Cloud, Сбер и других крупных компаний. Старт потока: 5 мая, онбординг с 28 апреля По промокоду TPROGER вы получите скидку 20% Записаться на буткемп: https://naition.ai/ А чтобы вы смогли самостоятельно разобраться в теме Naition собрали бесплатный roadmap с 40+ концептами и ссылками на первоисточники. Это #партнёрский пост

Microsoft выпустила внеплановый патч .NET 10: поддельный cookie открывает путь к SYSTEM В ASP.NET Core Data Protection нашли баг, который работал строго по плану. Managed-энкриптор честно вычислял HMAC-тег — но по неправильным байтам payload, а затем отбрасывал уже посчитанный хеш. Проверка целостности фактически ничего не проверяла. Что это значит: атакующий без аутентификации мог подделать auth-cookie, antiforgery-токены, TempData, OIDC state и ссылки сброса пароля. На Windows-деплоях через скомпрометированную сессию часто открывается путь к правам SYSTEM. CVSS 9,1. Кто под ударом: версии 10.0.0–10.0.6 пакета Microsoft.AspNetCore.DataProtection. Особенно внимательно — Linux/macOS: там NuGet-копия подтягивается чаще, чем на Windows. На Windows уязвимости нет, только если приложение использует shared framework и не тянет NuGet-копию напрямую или транзитивно. Фикс — 10.0.7, вышел 21 апреля. Но одного обновления мало: токены, выпущенные за время работы уязвимой версии, остаются валидными. Без ротации DataProtection key ring вы закрываете будущее, но не прошлое. Важно: флаг --include-transitive при проверке зависимостей обязателен — пакет часто тянется транзитивно через Identity или Authentication.Cookies.

Moonshot выпустила Kimi K2.6 — открытая триллионная модель, которая кодит 13 часов без остановки Если вы ждали агента, который не сорвётся через полчаса — Moonshot говорит, что дождались. Kimi K2.6 отработала в демо 12–13 часов: 4000+ вызовов инструментов в Zig-проекте и 1000+ при оптимизации биржевого движка. Прогоны собственные, не независимые — но с воспроизводимыми метриками пропускной способности. Модель — MoE (на токен активируется лишь 32B из триллиона параметров), контекст 256K, мультимодальность через vision-энкодер MoonViT на 400M. На SWE-Bench Pro — 58,6%: выше GPT-5.4 (57,7%), Claude Opus 4.6 (53,4%) и Gemini 3.1 Pro (54,2%). Лицензия Modified MIT. API Anthropic-совместим — переключается в Claude Code сменой base URL. Осталось дождаться независимого прогона — не того, что Moonshot сняла сама о себе. Подробнее на Tproger